EU-Datenschutz-Grundverordnung: Das müssen Sie wissen
Montag, 29. Januar 2018

EU-Datenschutz-Grundverordnung: Das müssen Sie wissen

In 116 Tagen ist es so weit und die Anforderungen der EU-Datenschutz-Grundverordnung (EU-DSGVO) treten endgültig in Kraft. Das Ziel ist es, damit eine weitgehende Vereinheitlichung des europäischen Datenschutzrechtes zu erreichen.

Insbesondere die angekündigten Bußgelder von bis zu 20 Mio. Euro oder alternativ 4% des weltweiten Konzernumsatzes bei Verstößen gegen die EU-DSGVO verunsichern derzeit viele Entscheider in Unternehmen. Wir wollen Ihnen daher im folgenden Artikel einen Überblick über die Bedeutung der EU-DSGVO und den daraus resultierenden Handlungsbedarf im Unternehmen geben.

Die Anwendbarkeit der EU-DSGVO

Die EU-DSGVO tritt am 25. Mai 2018 endgültig in Kraft. Eine häufig gestellte Frage ist, ob es für die Vorbereitung eine Übergangsfrist gibt. Wir befinden uns aktuell am Ende einer zweijährigen Periode zur Vorbereitung auf die Anwendbarkeit der EU-Datenschutz-Grundverordnung, deren Anforderungen somit ab 25. Mai 2018 endgültig bindend für alle Betroffenen sind. Gleichzeitig wurde seitens des Gesetzgebers bereits signalisiert, Sanktionen und Bußgelder im Falle von Verstößen gegen die Anforderungen der EU-DSGVO nach deren Inkrafttreten auszusprechen.

So hat das Bayerische Landesamt für Datenschutzaufsicht in Ansbach in einem Kurzpapier bereits angekündigt, Datenschutzverstöße künftig mit Nachdruck zu verfolgen:

Ausblick zu drohenden Bußgeldern: Aus den Sanktionsvorschriften der DS-GVO spricht der deutliche Wille des Gesetzgebers, Datenschutzverstöße konsequent und bei Bedarf auch empfindlich zu ahnden. Dies ist ein deutliches Signal, dass sich eine Inkaufnahme von Datenschutzverstößen nicht lohnt.

Unternehmen müssen den Datenschutz daher zwangsläufig noch mehr als bisher in den Fokus ihrer eigenen Aufmerksamkeit nehmen.

Wir raten allen betroffenen Unternehmen daher, sich bereits jetzt umfassend für die Anforderungen der EU-DSGVO zu rüsten.

Themenbereiche und Grundbegriffe der EU-DSGVO

Das elementare Ziel der EU-Datenschutz-Grundverordnung besteht im Schutz von personenbezogenen Daten, wie auch in der EU-DSGVO selbst skizziert:

Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union (...) sowie Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

Was aber versteht die EU-DSGVO konkret unter personenbezogenen Daten? Personenbezogene Daten sind solche Daten, die einen Rückschluss auf natürliche Personen erlauben. Es geht dabei also nicht nur rein um eindeutig identifizierte Personen, sondern auch um identifizierbare Personen.

Dies bedeutet folglich, dass die Anforderungen der EU-DSGVO auch dann zu beachten sind, wenn die ursprüngliche Information dazu geeignet ist, durch Verknüpfung mit weiteren Daten einen Rückschluss auf die einzelne Person zu ermöglichen. Eine IP-Adresse beispielsweise ist somit ebenfalls als personenbezogenes Datum zu betrachten, wenn der Datenverarbeiter über rechtliche oder technische Mittel verfügt, anhand derer der konkrete Nutzer identifiziert werden kann.

Sobald die Daten dergestalt anonymisiert wurden, dass ein Personenbezug nicht mehr möglich ist, sind diese Informationen nicht (mehr) als personenbezogene Daten anzusehen. Als Sonderfall ist eine Pseudonymisierung oder Verschlüsselung anzusehen, wo während der Aufrechterhaltung der Pseudonymisierung oder Verschlüsselung der Personenbezug verhindert wird. Erst wenn diese wieder aufgelöst werden, ist eine Identifizierung von einzelnen Personen erneut möglich.

Die relevanten Inhalte der EU-Datenschutz-Grundverordnung lassen sich aus Unternehmensperspektive grob in die folgenden Bereiche zusammenfassen:

1. Rechtliche und administrative Anforderungen

In diesen Bereich fallen die Vorgaben der EU-DSGVO, die insbesondere das Führen eines Verzeichnisses über die Verarbeitungstätigkeiten erfordern, eine Unterteilung der Daten hinsichtlich ihrer Schutzwürdigkeit und ggf. das Erstellen von Risikofolgenabschätzungen für die Betroffenen im Falle eines Datenverlustes. Ebenso in diesem Bereich zu sehen sind die Anforderungen zur Gültigkeit von Einwilligungserklärungen der einzelnen Kunden zur Datenverarbeitung.

2. Prozesse

Im Bereich der Prozesse sind insbesondere die vielfältigen Rechte von betroffenen Personen zu sehen wie beispielsweise das Auskunftsrecht, das „Recht auf Vergessen“ oder Korrektur sowie das Recht zur Datenübertragbarkeit. Die damit verbundenen Verpflichtungen der Unternehmen erfordern eine intensive Erhebung, Prüfung und ggf. Anpassung von bestehenden Prozessen im Unternehmen – von der Datenerhebung bis hin zur Auskunftspflicht.

3. IT-Security und Datenschutz-Managementsystem (DSMS)

Wenngleich nicht explizit durch technologische Vorgaben in der EU-DSGVO spezifiziert, fordert die EU-DSGVO dennoch, dass der Verlust, die Beschädigung oder unautorisierte Veröffentlichung von Daten durch geeignete technische und organisatorische Maßnahmen zu verhindern sind. Dies betrifft insbesondere auch ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 EU-DSGVO) dieser technischen und organisatorischen Maßnahmen, damit diese regelmäßig dem aktuellen Stand der Technik angepasst werden können. Es ist daher anzuraten, diese Themen in ein Managementsystem zu überführen (ein spezifisches Datenschutz-Managementsystem DSMS oder in ein bestehendes Informationssichermanagementsystem, ISMS, zu integrieren).

Aktuell herrscht in Unternehmen große Unsicherheit, wie die Anforderungen der EU-DSGVO konkret in der eigenen Organisation umzusetzen sind und welche dieser Anforderungen tatsächlich für das eigene Unternehmen relevant sind. Wir als Sysgrade unterstützen Sie gerne bei der Vorbereitung und Umsetzung der Anforderungen der EU-DSGVO und freuen uns auf Ihre Kontaktaufnahme. Gerne unterstützen wir Sie dabei auch bei der Suche nach und Beantragung von etwaigen Fördermöglichkeiten, wie beispielsweise dem Digitalbonus.Bayern.

Dr. Oliver Gmelch

Ihr Ansprechpartner:
Dr. Oliver Gmelch - Informationssicherheit und IT-Security

Kontaktaufnahme »

Weiterführende Informationen

Weitere Beiträge in dieser Kategorie: